Недавно мне написала одна англоязычная читательница по имени Аманда, которая интересуется информационной безопасностью. По-русски она читать может, пишет по-английски. Ничего страшного, нас в школе английскому учили. "Russia is a great country". И всё такое. Суть письма состояла в том, что было бы неплохо рассказать о том, какую опасность представляют утечки больших данных. В качестве примера Аманда прислала ссылку на один из отчётов ИБ по крупной утечке данных компании CVS Health в 2021 году.
Утечка CVS Health
Вполне возможно, конечно, что Аманда работает в PR отделе WebSitePlanet и ей просто нужно повысить цитирование своего ресурса... Или Аманда — это простенький бот, рассылающий нигерийский спам с просьбой добавить ссылку... Аманда, нам не жалко, вот ссылка:
https://www.websiteplanet.com/blog/cvs-health-leak-report
Тем более что последующая информация действительно поспособствует повышению экспы читателей.
I believe adding this information to your article will greatly contribute to educating your audience and promoting a safer online experience.
Сразу скажу, что утечка данных CVS Health не стоит и выеденного яйца. Но масштабы заставляют задуматься. Перейдём к сути. 21 марта 2021 года исследовательская группа WebsitePlanet в сотрудничестве со специалистом по ИБ Джереми Фаулером обнаружила не защищенную паролем базу данных, содержащую 1148327940 записей объёмом в 204,0 ГБ.
Больше миллиарда, Карл!
Горе-разработчики оставили в открытом доступе базу Кибаны, содержащую данные о корзинах покупателей и поисковых запросах пользователей CVS Health. Не самая чувствительная информация, и далеко не персональные данные, можно расслабиться. Однако, в БД было обнаружено много e-mail адресов. Хм, с чего бы это? Зачем в поисковой строке посетителям указывать свой e-mail? А вот здесь уже в полной мере раскрывается проблема юзабилити сайта. Вероятно, посетители думали, что они входят в свою учетную запись. На самом деле вводили свой адрес электронной почты в строку поиска или просто проверяли, есть ли на этом сайте их учётная запись.
Утечка данных CVS Health не раскрывает персональные данные клиентов и не может использоваться для криминальных целей. БД может представлять интерес для аналитиков больших данных. Здесь больше пострадала репутация компании. К тому же базу просто обнаружили в открытом доступе, не факт что она была скачана кем-нибудь. Если юзер вводит в строку поиска свой email или номер кредитной карты — сам дурак. Но тому кто не обезопасил доступ к данным нужно сделать атата! В профилактических целях.
Из этой утечки многие СМИ начали раздувать псевдо-скандалы. Им тоже нужно сделать атата! Только посмотрите на заголовки:
- Выявлено более миллиарда медицинских карт CVS.
- Кража базы данных из 1 млрд записей в результате хакерской атаки.
- CVS hacked?
Утечка на миллиард у CVS Health не единственная.
Утечка Yahoo
В 2016 году Yahoo заявила, что в 2013 году были скомпрометированы данные с более чем 1 миллиарда учетных записей. А в 2017 году поступило уточнение, что все учетные записи пользователей были затронуты. А это все 3 миллиарда её учетных записей.
Три миллиарда, Карл!
К злоумышленникам в руки попала информация об электронной почте, номерах телефонов и датах рождения пользователей. Компания заявила, что расследование показало, что украденная информация не включала пароли в открытом виде и данные платежных карт. Но, по словам экспертов, информация была защищена устаревшим, легко взламываемым шифрованием. В утёкших данных были также контрольные вопросы и резервные адреса электронной почты, что могло упростить взлом.
Непонятно почему в Yahoo молчали три года. Наверное, ждали когда все хэши паролей сбрутфорсят злые хакеры. Кстати, заголовки статей СМИ тоже ржачные:
- Inside the Russian hack of Yahoo: How they did it
- Yahoo Executives Detected a Hack Tied to Russia in 2014
Примечательно, что ещё в 2012 году стало известно о том, что группа хакеров взломала базу данных почтового сервиса Yahoo. В результате атаки скомпрометированными оказались учётные данные более 450 тысяч пользователей голосовой платформы ресурса. Злоумышленники разместили в сети тестовый документ, содержащий скомпрометированные данные и отметили, что использовали для взлома один из типов SQL инъекций, при помощи которого им удалось проникнуть в поддомен Yahoo.
https://www.securitylab.ru/news/426928.php
Утечка CDEK
В 2022 году было зафиксировано целых три утечки данных компании CDEK. В сеть попали имя, фамилия, имя пользователя, адрес электронной почты, номер телефона, Яндекс ID и другие данные клиентов компании. Суммарно утекло около 1.5 млрд строк.
Полтора миллиарда, Карл!
Утечка CDEK.Shopping и CDEK.Market
В базу не попали номера документов, удостоверяющих личность, и данные банковских карт клиентов. И я там был, мёд-пиво пил...
БД паролей
The New York Times в 2014 году пишет:
И снова отличились русские хакеры. Специалисты американской компании Hold Security, специализирующейся в области информационной безопасности, утверждают, что группе хакеров из России удалось составить крупнейшую в мире базу данных паролей интернет-пользователей объёмом 1.2 млрд строк.
Снова миллиард, Карл!
Записи, обнаруженные фирмой Hold Security, включают конфиденциальные материалы, собранные с 420000 сайтов, которые включают в себя как крупных интернет-магазинов, так и мелкие компании.
Почти миллиард, Карл!
У Ростелекома в 2021 году утекли данные сервиса "Умный дом".
В шести текстовых файлах суммарно содержится 712999 строк: ФИО, email-адрес, телефон, хешированный (bcrypt) пароль, IP-адрес, дата регистрации и последней активности.
Утечку в РТК связывают с историей о публикации данных сотрудников компании, а это ещё 109300 строк с ФИО, корпоративной электронной почтой, должностью, телефоном и прочими данными.
Выводы
Здесь должен быть какой-то умный вывод о том, что количество утечек с каждым годом растёт. О том что ведётся постоянная борьба с утечками данных, компаниям приходится уплачивать штрафы за утечки персональных данных, не очень-то и крупные, к слову. Что информационной безопасности начинают уделять всё больше и больше внимания. Зарплаты безопасников растут, специалисты по ИБ востребованы как никогда. Программы и методы защиты от взломов тоже растут в качестве...
Нам, как конечным и самым страдающим от утечек данных пользователям, от этого ни горячо ни холодно. Если с утечкой персональных данных ещё можно как-то смириться, то с украденными данными банковских карт мириться сложнее. Лучше я продублирую в качестве заключения советы Как покупать в Интернете и не потерять деньги?
Работающие советы:
- Не покупайте в Интернет-магазинах своей основной банковской картой. Для покупок в Интернете заведите дополнительную карту, лучше виртуальную, ещё лучше и ту и другую. Если данные вашей карты украдут, заблокируйте виртуальную карту и заведите новую.
- Настройте лимиты на всех картах. Ограничьте на виртуальной карте максимальную сумму, которую можно потратить за день. Мошенники не смогут украсть за один раз больше этой суммы. И вы успеете заблокировать виртуальную карту.
- Периодически меняйте виртуальную карту.
- Не держите на виртуальной карте средств, пусть на ней будет нулевой баланс. Переводите на неё нужную сумму непосредственно перед покупкой.
- При покупке указывайте только то, что изображено на карте.
- Не пользуйтесь кредитными картами для покупок в Интернете, с них можно украсть больше денег, чем у вас есть. Будете и воров кормить, и банкам проценты отстёгивать, и бесплатно работать на кредит.
- Если вы собираетесь часто что-то покупать в Интернет-магазине, то сделайте первую покупку на небольшую сумму. Или, если есть возможность, оплатите товар при получении. Дополнительной картой.
- Не входите в Интернет-банк с чужих компьютеров.
Эти советы не спасут, если вы делаете оплату на сайте мошенников. Не помогут, если базу данных карт украдут в дырявом интернет-магазине. Но хотя бы вы не лишитесь всех денег на карте. Не останетесь сидеть дома с заблокированной картой без возможности вызвать такси, даже если на счету есть деньги.
Обобщаем:
- Основная карте лежит дома под замком.
- Дополнительная карта — для покупок в магазинах, ресторанах, транспорте и при оплате курьеру.
- Виртуальная карта — для покупок в Интернет-магазине.
Удачных вам покупок в Интернете. И не держите яйца в одной корзине.